ArmouryLoader irrumpió en el panorama de amenazas a fines de 2024 después de secuestrar la tabla de exportación de la utilidad Armory Crate de Asus, convirtiendo a un compañero de juego confiable en un punto de entrada inicial para campañas de malware sofisticadas.
Desde entonces, los equipos de seguridad han visto un aumento constante en los incidentes en los que el cargador se desliza silenciosamente por la telemetría de punto final, descifra su carga útil en la memoria de GPU y lanza cualquier cosa, desde CoffeeLoader hasta Smokeloader sin dejar caer un archivo en el disco.
Long Presione el código QR para ver la información detallada del cargador de Hijackloader (fuente – 4hou)
La capacidad del cargador para seleccionar dispositivos con capacidad de OpenCL, combinar la escalada de privilegios con la ofuscación avanzada y las pilas de llamadas Forge lo han convertido en un favorito entre los actores de amenazas de motivación financiera que se dirige tanto a los entornos de consumidores como a los entornos empresariales.
Los atacantes normalmente entregan la manipulada armya.dll a través de archivos de phishing de lanza o repositorios de software comprometidos.
Una vez que la DLL maliciosa está cargada de lateral, la ejecución ingresa a la Etapa 1, un océano de operaciones aritméticas reversibles diseñadas para colocar listados de desmontaje mientras deja registros sin cambios.
Instrucciones inútiles agregadas por ArmouryLoader (fuente – 4hou)
En segundos, la etapa 2 genera un nuevo hilo, descifra la siguiente ejecución de PE Stub and Hands a la Etapa 3, donde un núcleo OpenCL realiza XOR en bloques de texto cifrado en la GPU, evitando que las ganchos de arena que monitorean las llamadas API unidas a la CPU.
Código de autodecryción de Armory (fuente-4hou)
4Hou Analistas anotado La dependencia de la GPU del cargador obliga a muchas cajas de arena automatizadas a caminos muertos porque presentan adaptadores de gráficos virtualizados y no acelerados.
El impacto del cargador es extenso: los puntos finales de tele-trabajo reciben troyanos de la segunda etapa, los SOC luchan con los rastros de llamadas opacas y los respondedores de incidentes enfrentan tareas persistentes que reinstalan los secuestros de congelación después de cada reinicio.
Las firmas digitales integradas en Rogue Dll llevan el legítimo “Asustek Computer Inc”. Field del editor, ayudando aún más a campañas de ingeniería social dirigidas a usuarios no técnicos que confían en los certificados visibles.
Tácticas de persistencia: tareas programadas que se niegan a morir/
Si bien la ofuscación y el descifrado del lado de la GPU ganan la mayoría de los titulares, la capa de persistencia de ArmouryLoader es la fuerza tranquila que garantiza el acceso a largo plazo.
La etapa 5 comienza consultando TokenelevationType y CheckTokenMership para decidir si el contexto actual disfruta de poderes administrativos.
Si es cierto, el cargador se copia en %ProgramData %\ ArmouryaiArosdk.dll, establece el sistema, los atributos ocultos y de solo lectura, y modifica el ACL del archivo para que incluso los administradores locales reciban una entrada de “Denegar Delete”.
El siguiente fragmento de código, expulsado de la PE de la quinta etapa, muestra cómo se hacen cumplir esos derechos:-
plist.grfaccesspermissions = eliminar | File_write_data | File_append_data | File_write_ea | File_write_attributes; plist.grfaccessmode = deny_access; Setentriesinaclw (1, y plist, null y newacl); SetNamedSecurityInfow (l “%ProgramData%\\ ArmouryaiArosdk.dll”, SE_FILE_OBEnCET, DACL_SECURITY_INFORMATION, NULL, NULL, NewAcl, NULL);
Si la alta integridad no está disponible, la etapa 5 rebaja con gracia con gracia, dejando caer la DLL en % LocalAppData % pero aplicando el endurecimiento de atributos idéntico. Independientemente de la ruta, invoca schtasks.exe (o, en construcciones más nuevas, la API del programador de tareas) para elaborar un trabajo de “AsusupdateServiceUa”.
Bajo contextos elevados, la tarea se ejecuta en el inicio de sesión con la bandera más alta /rl; De lo contrario, se repite cada 30 minutos debajo del usuario actual.
Figura 2-5 En el informe original (“AsusupdateServiceUa Properties.png”) representa el trabajo configurado para activar cada inicio de sesión, cementando el punto de apoyo.
Las variantes posteriores evitan Schtasks.exe por completo, llamando a ITaskDefinition :: RegisterTaskDefinition para que las reglas de EDR que vieran artefactos de línea de comandos no se vean nada anómalo.
Un florecimiento final asegura sigiloso: ArmouryLoader reescribe el nombre de imagen de PEB y las correspondientes cadenas LDR_DATA_TABLE_ENTRY a “Explorer.exe” antes de usar cmluautil para relanzar los derechos administrativos completos.
Cualquier producto de seguridad que realice verificaciones de nombre de proceso superficiales, por lo tanto, supone que la escalada de privilegios se originó desde el shell de Windows.
Al encadenar las firmas digitales manipuladas, las cargas de trabajo de GPU cifradas y las tareas programadas endurecidas con ACL, ArmouryLoader ofrece un canal de entrega duradero y de bajo ruido que probablemente seguirá siendo atractivo para los atacantes hasta que los defensores endurecen la telemetría de GPU y restrinjan el sistema API de registro de tareas.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
